Por favor, não alimente os Lapsus ShinyHunters dispersos – Krebs on Security

Uma prolífica gangue de resgate de dados que se autodenomina Caçadores Brilhantes Lapsus Espalhados (SLSH) tem um manual distinto quando procura extorquir pagamentos às empresas vítimas: assediar, ameaçar e até mesmo golpear executivos e suas famílias, ao mesmo tempo que notifica jornalistas e reguladores sobre a extensão da intrusão. Algumas vítimas supostamente estão pagando – talvez tanto para conter os dados roubados quanto para impedir a escalada de ataques pessoais. Mas um importante especialista em SLSH adverte que qualquer envolvimento que vá além de uma resposta “Não estamos pagando” apenas encoraja mais assédio, observando que a história turbulenta e pouco confiável do grupo significa que a única jogada vencedora é não pagar.

Ao contrário dos grupos afiliados de ransomware tradicionais e altamente regulamentados com sede na Rússia, o SLSH é uma gangue de extorsão de língua inglesa indisciplinada e um tanto fluida que parece desinteressada em construir uma reputação de comportamento consistente, por meio da qual as vítimas possam ter alguma confiança de que os criminosos manterão sua palavra se forem pagos.

Isso está de acordo com Allison Nixondiretor de pesquisa da consultoria de segurança com sede em Nova York Unidade 221B. Nixon tem monitorado de perto o grupo criminoso e seus membros individuais enquanto eles transitam entre vários canais do Telegram usados ​​para extorquir e assediar as vítimas, e ela disse que o SLSH difere dos grupos tradicionais de resgate de dados em outras maneiras importantes que argumentam contra confiar neles para fazer qualquer coisa que eles dizem que farão – como destruir dados roubados.

Assim como o SLSH, muitos grupos tradicionais de ransomware russos empregaram táticas de alta pressão para forçar o pagamento em troca de uma chave de descriptografia e/ou uma promessa de exclusão de dados roubados, como a publicação de um blog obscuro na dark web com amostras de dados roubados ao lado de um relógio de contagem regressiva, ou notificar jornalistas e membros do conselho da empresa vítima. Mas Nixon disse que a extorsão do SLSH vai rapidamente muito além disso – para ameaças de violência física contra executivos e suas famílias, ataques DDoS no site da vítima e repetidas campanhas de inundação de e-mails.

SLSH é conhecido por invadir empresas por meio de phishing de funcionários por telefone e usar o acesso roubado para roubar dados internos confidenciais. Em uma postagem no blog de 30 de janeiroempresa forense de segurança do Google Mandiant disse que os ataques de extorsão mais recentes do SLSH resultam de incidentes que ocorreram no início de meados de janeiro de 2026, quando membros do SLSH fingiram ser funcionários de TI e ligaram para funcionários de organizações de vítimas alvo, alegando que a empresa estava atualizando as configurações de MFA.

“O agente da ameaça direcionou os funcionários aos locais de coleta de credenciais da marca da vítima para capturar suas credenciais SSO e códigos MFA e, em seguida, registrou seu próprio dispositivo para MFA”, explicou a postagem do blog.

As vítimas muitas vezes ficam sabendo da violação pela primeira vez quando seu nome de marca é pronunciado em qualquer novo e efêmero bate-papo público do Telegram que o SLSH está usando para ameaçar, extorquir e assediar suas presas. De acordo com Nixon, o assédio coordenado nos canais do SLSH Telegram faz parte de uma estratégia bem orquestrada para sobrecarregar a organização vítima, fabricando humilhações que as empurram para além do limite do pagamento.

Nixon disse que vários executivos de organizações visadas foram sujeitos a ataques de “golpe”, em que o SLSH comunicou uma falsa ameaça de bomba ou situação de reféns no endereço do alvo, na esperança de obter uma resposta policial fortemente armada em sua casa ou local de trabalho.

“Grande parte do que eles fazem às vítimas é o aspecto psicológico, como assediar os filhos dos executivos e ameaçar o conselho da empresa”, disse Nixon ao KrebsOnSecurity. “E embora essas vítimas recebam demandas de extorsão, elas simultaneamente recebem divulgação dos meios de comunicação dizendo: ‘Ei, você tem algum comentário sobre as coisas ruins que vamos escrever sobre você?’

Em uma postagem no blog hojea Unidade 221B argumenta que ninguém deveria negociar com o SLSH porque o grupo demonstrou vontade de extorquir as vítimas com base em promessas que não tem intenção de cumprir. Nixon aponta que todos os membros conhecidos do SLSH vêm de O Comabreviação de uma constelação de comunidades Discord e Telegram focadas no crime cibernético que servem como uma espécie de rede social distribuída que facilita a colaboração instantânea.

Nixon disse que os grupos de extorsão baseados em Com tendem a instigar rixas e dramas entre os membros do grupo, levando a mentiras, traições, comportamento de destruição de credibilidade, traição e sabotagem mútua.

“Com esse tipo de disfunção contínua, muitas vezes agravada pelo abuso de substâncias, esses atores de ameaças muitas vezes não são capazes de agir com o objetivo principal de concluir uma operação estratégica de resgate bem-sucedida”, escreveu Nixon. “Eles perdem continuamente o controle com explosões que colocam em risco sua estratégia e segurança operacional, o que limita severamente sua capacidade de construir uma rede de organização criminosa profissional, escalonável e sofisticada para resgates contínuos e bem-sucedidos – ao contrário de outras organizações criminosas mais experientes e profissionais focadas apenas em ransomware.”

As invasões de grupos de ransomware estabelecidos geralmente giram em torno de malware de criptografia/descriptografia que permanece principalmente na máquina afetada. Em contraste, disse Nixon, o resgate de um grupo Com é muitas vezes estruturado da mesma forma que os esquemas violentos de sextorção contra menores, em que os membros do The Com roubam informações prejudiciais, ameaçam divulgá-las e “prometem” apagá-las se a vítima cumprir sem qualquer garantia ou prova técnica de que manterão a sua palavra. Ela escreve:

Um componente-chave dos esforços do SLSH para convencer as vítimas a pagar, disse Nixon, envolve a manipulação da mídia para que exalte a ameaça representada por este grupo. Esta abordagem também toma emprestada uma página do manual de ataques de sextorção, disse ela, que incentiva os predadores a manterem os alvos continuamente envolvidos e preocupados com as consequências do não cumprimento.

“Nos dias em que o SLSH não tinha nenhuma ‘vitória’ criminal substancial para anunciar, eles se concentraram em anunciar ameaças de morte e assédio para manter as autoridades policiais, jornalistas e profissionais da indústria do crime cibernético focados neste grupo”, disse ela.

Um trecho de um tutorial de sextorção de um canal Telegram baseado em Com. Imagem: Unidade 221B.

Nixon sabe uma ou duas coisas sobre ser ameaçado pelo SLSH: nos últimos meses, os canais do grupo Telegram estiveram repletos de ameaças de violência física contra ela, contra Yours Truly e contra outros pesquisadores de segurança. Estas ameaças, disse ela, são apenas outra forma de o grupo procurar atrair a atenção dos meios de comunicação social e obter uma aparência de credibilidade, mas são úteis como indicadores de compromisso porque os membros do SLSH tendem a nomear investigadores de segurança desonestos e malignos, mesmo nas suas comunicações com as vítimas.

“Observe os seguintes comportamentos em suas comunicações com você ou em suas declarações públicas”, diz o comunicado da Unidade 221B. “Menções abusivas repetidas de Allison Nixon (ou “AN”), Unidade 221B, ou jornalistas de segurança cibernética – especialmente Brian Krebs – ou qualquer outro funcionário de segurança cibernética, ou empresa de segurança cibernética. Quaisquer ameaças de matar, ou cometer terrorismo, ou violência contra funcionários internos, funcionários de segurança cibernética, investigadores e jornalistas.”

A Unidade 221B afirma que, embora a campanha de pressão durante uma tentativa de extorsão possa ser traumatizante para os funcionários, executivos e seus familiares, entrar em negociações prolongadas com o SLSH incentiva o grupo a aumentar o nível de danos e riscos, o que pode incluir a segurança física dos funcionários e das suas famílias.

“Os dados violados nunca mais voltarão a ser como eram, mas podemos garantir que o assédio terminará”, disse Nixon. “Portanto, a sua decisão de pagar deve ser uma questão separada do assédio. Acreditamos que, ao separar estas questões, verá objetivamente que o melhor curso de ação para proteger os seus interesses, tanto a curto como a longo prazo, é recusar o pagamento.”